企業cisco路由與交換安全設置

企業cisco路由與交換安全設置

路由器是連接內網與外網的橋樑，它的安全關係到整個內網的安全，更關係到企業商業機密等等。所以做好路由的安全是重中之重。

以下部分設置cisco路由與交換通用

一　首先做好密碼的設置

1         Telnet　密碼

(config)#line vty 0 4

　　　　　　　(config-line)#login

　　　　　　　(config-line)#password xxx

個人建議不要開啓遠程，如果一旦開啓此項，給***者可乘之機，路由安全又降低了。

     　　　　　　　　　　　　　　　　　

２　特權密碼 (conft)# enable　sercret　 xxx　最好不要寫成enable　password  xxx，因爲這個相對來講加密算法較弱。同時還要啓用service password-encryption　此條命令是對配置文件中所有密碼及相關文件進行加密，以提高安全性. 建議特權密碼不要與Telnet密碼相同。

2         console口密碼

(config)#line console 0

　　　　　　　(config-line)#login

　　　　　　　(config-line)#password xxx

二　關閉不必要的服務

Cisco路由器提供了很多服務。其中有很多不必要的服務，這些服務又是默認開啓的，這就又給***者一個可乘之機，所以建議手動關閉這些服務。

1         建議禁止SNMP服務

(config)# no snmp-server

SNMP是英文“Simple Network Management Protocol”的縮寫，中文意思是“簡單網絡管理協議”.分爲V1 V2版本

禁止pulic的只讀屬性和admin的讀寫屬性

Router(config)#no snmp-server community public ro

Router(config)#no snmp-server community admin rw

2         關閉IP直接廣播(IP Directed Broadcast)

　　　　(config)#no ip source-route這個指令關閉路由器的IP直接廣播地址

3         建議禁止Http管理服務

Http管理服務是Cisco提供的基於圖形界面的Web管理方式，方便某些初級用戶的管理需求。但是，開啓Web管理後路由器需要開啓而外的端口(通常是80)，而且Http是Cisco存在漏洞比較多的一個服務。對於一個熟練的管理員，有高效的命令行就可以了，完全用不着Web管理方式，因此筆者建議禁止該管理服務服務。

Router(config)#no ip http server

 

 

4　封鎖ICMP ping請求

屏蔽外部ping包

　Router(Config)#access-list 110 deny icmp any any echo log

Router(Config)#access-list 110 deny icmp any any redirect log

Router(Config)#access-list 110 deny icmp any any mask-request log

Router(Config)#access-list 110 permit icmp any any

允許內部ping包

Router(Config)#access-list 111 permit icmp any any echo

Router(Config)#access-list 111 permit icmp any any Parameter-problem

Router(Config)#access-list 111 permit icmp any any packet-too-big

Router(Config)#access-list 111 permit icmp any any source-quench

Router(Config)#access-list 111 deny icmp any any log

屏蔽外部TraceRoute

Router(Config)#access-list 112 deny udp any any range 33400 34400

允許內部TraceRoute

Router(Config)#access-list 112 permit udp any any range 33400 34400

4         按需定製訪問控制列表

訪問控制列表(ACL)可以實現網絡通信流量的控制。合理應用路由器(尤其是邊緣路由器)的訪問控制列表功能，將對網絡的安全起到很好的保護作用，如拒絕非公有地址訪問內部網絡以及一些垃圾和惡意路由信息等。

5         關閉cdp　Cisco發現協議

　　　(Config)#no cdp run

6         關閉DNS查找

　　　（config）#no ip domain-lookup

7         優化設置

　　　(config)#,line console 0 &&(config)line vty 0 4 &&(config)#line aux 0

      (config-line)# logging synchronous (不讓日誌消息打擾你的配置過程)&& exec-time 0 0　永過超時

 

 

#以上僅供參考